应急响应实战-入侵排查linux

最新推荐文章于 2024-03-27 17:22:48 发布

檬一个安全

最新推荐文章于 2024-03-27 17:22:48 发布

阅读量418

点赞数 1

分类专栏：网络安全文章标签：安全

本文链接：https://blog.csdn.net/weixin_38896449/article/details/110405984

版权

网络安全专栏收录该内容

7 篇文章 0 订阅

订阅专栏

应急响应实战-入侵排查linux

1、账户安全
- 1.1 用户信息
- 1.2 影子文件
2、历史命令
- 2.1 用户历史命令
- 2.2 root历史命令
3、端口服务进程
4、文件日志

1、账户安全

1.1 用户信息

1.1 用户信息：
cat /etc/passwd
在这里插入图片描述
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell

1.2 影子文件

1.2 “影子文件”：用于存储 Linux 系统中用户的密码信息。
cat etc/shadow
在这里插入图片描述
用户：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期的警告天数：密码过期之后的宽限天数：账号失效时间：保留

2、历史命令

2.1 用户历史命令

2.1 普通账户历史命令
.bash_history 是隐藏文件,需要使用-a参数才会显示出来，bash中默认命令记忆可达1000个。
在这里插入图片描述
cat .bash_history 查看命令记录，记录较多可保存本地分析

2.2 root历史命令

2.2 root用户历史命令
history
在这里插入图片描述

3、端口服务进程

3.1 异常端口

3.1 异常端口
netstat -antlp|more 查看可疑端口、IP、PID
在这里插入图片描述

3.2 异常进程

3.2 异常进程
ps -A 查看进行进程
在这里插入图片描述
ps aux | grep PID 查看进行详情

3.3 开机启动项

3.3 开机启动项
chkconfig
chkconfig [–level 运行级别] [独立服务名] [on|off] chkconfig –level 2345 httpd on 开启自启动 chkconfig httpd on （默认level是2345）
在这里插入图片描述
chkconfig iptable off 关闭iptable进程开机启动

3.4 定时任务

3.4 定时任务
crontab -l 任务列表
-e 编辑任务
-r 删除任务
在这里插入图片描述
more /etc/cron.daily/* 查看目录下所有文件

4、文件日志

4.1 异常文件

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“…”为名的文件夹具有隐藏属性
2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？
可以使用find命令来查找，如 find /opt -iname “*” -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用stat进行创建修改时间。

4.2 日志文件

日志默认存放位置：/var/log/
查看日志配置情况：more /etc/rsyslog.conf
在这里插入图片描述

4.3 日志分析技巧

1、定位有多少IP在爆破主机的root帐号：
grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：
grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)”|uniq -c

爆破用户名字典是什么？
grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr

2、登录成功的IP有哪些：
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

3、增加一个用户kali日志：
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001 Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali , shell=/bin/bash Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali #grep “useradd” /var/log/secure

4、删除用户kali日志：
Jul 10 00:14:17 localhost userdel[2393]: delete user ‘kali’ Jul 10 00:14:17 localhost userdel[2393]: removed group ‘kali’ owned by ‘kali’ Jul 10 00:14:17 localhost userdel[2393]: removed shadow group ‘kali’ owned by ‘kali’ # grep “userdel” /var/log/secure

5、su切换用户：
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0) sudo

授权执行:
sudo -l Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now